NÚKIB upozorňuje na kritickou zranitelnost v SharePointu. Jedná se o kritickou zranitelnost typu RCE (remote code execution) – CVE-2025-53770, která umožňuje neautentizovaný vzdálený přístup a spuštění kódu, což může vést k úplnému převzetí kontroly nad serverem. Zranitelné verze jsou pouze on-premise verze a to konkrétně SharePoint Server 2016, 2019 a Subscription Edition. SharePoint Online (Microsoft 365) není touto zranitelností ohrožen.
Společnost Valve zpřísnila pravidla pro obsah, který je možné distribuovat ve službě Steam. Současně řadu her ze Steamu odstranila. V zásadách a pravidlech přibylo omezení 15: Obsah, který by mohl porušovat pravidla a normy stanovené zpracovateli plateb a souvisejícími sítěmi platebních karet a bankami nebo poskytovateli připojení k internetu. Sem spadají zejména určité druhy obsahu pouze pro dospělé.
Dle analytics.usa.gov je za posledních 90 dnů 6,2 % přístupů k webových stránkám a aplikacím federální vlády Spojených států z Linuxu.
Jak si zobrazit pomocí Chrome a na Chromiu založených webových prohlížečích stránky s neplatným certifikátem? Stačí napsat thisisunsafe.
V repozitáři AUR (Arch User Repository) linuxové distribuce Arch Linux byly nalezeny a odstraněny tři balíčky s malwarem. Jedná se o librewolf-fix-bin, firefox-patch-bin a zen-browser-patched-bin.
Dle plánu by Debian 13 s kódovým názvem Trixie měl vyjít v sobotu 9. srpna.
Vývoj linuxové distribuce Clear Linux (Wikipedie) vyvíjené společností Intel a optimalizováné pro jejich procesory byl oficiálně ukončen.
Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie).
V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 12.0 (Mastodon). Forgejo je fork Gitei.
Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).
http://domain.cz?data="><script>alert(document.cookie)</script>a domyslite si náledky ako "mierne upravený" skript odosiela sešny na útočníkov email. FireFox to zatiaľ neadoptoval a môžete kľudne vyháčkovať aj tento server. Prv než začnete nadávať na FF, tak oni zas medzi prvými zavádzali politiku bezpečnosti skriptov ktorá sa vtedy ešte neujala, ale dnes už to je štandart ktorý sa nazýva Content Security Policy (skrátene CSP). Ako to už býva u webových technológií zvykom, prechod nieje jednoduchý.
Medzi <head>...</head> vložíte v najjednuchšom prípade <meta http-equiv="Content-Security-Policy" content="default-src \'self\'>Čo zabezpečí, že všetko sa bude načítavať len z danej domény a externé skripty sa nespustia. Osobne používam skript ktorý všetky skripty a CSS vloží priamo do kódu, čím sa eliminujú ďalšie TCP požiadavky ktoré sú dosť drahé na čas ale pri CSP tam musím vložiť aj nonce, ktoré generujem náhodne pri každom načítaní stránky cez:
$nonce = base64_encode (random_string (nejaké_číslo_väčšie_ako_nula));Reťazec je prehananý cez base64, pretože je to WEB SAFE, alebo ľudsky povedané prehliadače akceptujú hocičo, ale keď to je v base64, tak nevyhadzujú ani upozornenia, žeby mohlo byť niečo zle. Oni to píšu len do konzoly a ak ju nemáte zapnutú, tak si toho ani nevšimnete.
<script> // kód </script>a odkazy na skripty:
<script src="moj_skript.js"></script>vloží do hlavičky:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'nonce-Wm5ZdzZqWTVqN1VVaTl4cA=='>a skript vloží medzi:
<script nonce="Wm5ZdzZqWTVqN1VVaTl4cA=="> // kód </script>Je možné namiesto nonce použiť aj HASH skriptu, nepoužívam to a nepokladám to za tak bezpečné ako "nonce" a má to trochu aj iné problémy, ale to si nájde v dokumentácií, alebo začnite na wikipedii.
Tiskni
Sdílej:
Čo je prekvapivé že na najznámejší "Reflected XSS" spravili obranu v prehliadačoch len Chrome a MSIE. V čom spočíva? Tak je to klassika, stačí do nefiltrovannej premmenej poslať reťazec napr.:
http://domain.cz?data="><script>alert(document.cookie)</script>
Z toho popisu není moc zřejmé, v čem vlastně spočívá princip útoku. Jde o to, že server vezme zadaný text a tak jak je, bez nějaké úpravy nebo escapování, ho vloží do generované stránky. Tím pádem se ve vygenerované stránce objeví normální tag <script>
a jeho obsah se vykoná.
skript odosiela sešny na útočníkov emailPravděpodobně tím myslíte, že by útočník odeslal identifikátor session z cookie. Obvykle se do cookie ukládá pouze identifikátor a hodnoty svázané se session se drží na serveru. Každopádně tohle je možné jenom tehdy, pokud daná cookie nemá nastavený příznak HttpOnly.
môžete kľudne vyháčkovať aj tento serverA to jste zkoušel, nebo vás jenom nenapadlo, že by proti tomu server mohl být chráněný? Ono tedy Abíčko dlouho mělo jednu dost podstatnou chybu, kterou nikdo neřešil a kterou by bylo možné použít i k XSS, ale ta fungovala na jiném principu, než popisujete.
Chyba aplikace Omlouváme se, ale systém nemohl provést zadanou akci. Chyba byla zalogována, nicméně váš slovní popis může být někdy velmi užitečný. Máte-li zájem nám pomoci, využijte formulář Vzkazy správcům. Název chyby: cz.abclinuxu.AbcException: Řetězec '' nemůže být převeden na číslo!Kde přesně je tam ta cookie?
Ale technika je to zajimava, o tom zadna. Dik!
Čo na to markeťáci?
Reklama sa väčšinou vkladá ako cudzí JavaScript. Markeťákom asi nebude jedno, že im reklama nefunguje.